京北方:内部控制自我评价报告
京北方信息技术股份有限公司2023年度内部控制自我评价报告
京北方信息技术股份有限公司全体股东:
根据《企业内部控制基本规范》、《企业内部控制评价指引》规定以及《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》等相关法律法规、规范性文件要求(以下简称“企业内部控制规范体系”),结合京北方信息技术股份有限公司(以下简称“公司”或“本公司”)《内部控制评价管理制度》、评价方法及实际管理情况,在内部控制日常监督和专项监督的基础上,我们对公司2023年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、 重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。管理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、 内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括:本公司、子公司、分公司,纳入评价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。纳入评价范围的主要业务包括信息技术服务和业务流程外包服务。纳入评价范围的主要事项包括采购与付款、销售与收款、存货管理、固定资产管理、资金管理、担保业务、投资与融资管理、人力资源管理、信息系统管理、信息披露事务管理、研发管理。重点关注的高风险领域主要包括销售与收款风险、研发与应用风险、人力资源管理风险。上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
(二)内部控制评价方法和程序
根据《企业内部控制评价指引》的要求,对公司截至2023年12月31日内部控制的设计与运行的有效性进行了评价。
公司内部控制评价程序主要包括:制定评价工作方案、组成评价小组、实施评价测试、分析汇总评价结果、认定控制缺陷、编报评价报告等环节。评价过程中,我们采用了询问、观察、检查、穿行测试、控制测试、分析程序等多种方法,广泛收集公司内部控制设计和运行是否有效的证据,如实编制内部控制自我评价工作底稿,分析、识别内部控制缺陷,对内部控制的有效性进行评价,并做出书面记录。
我们认为本次内部控制自我评价工作采取的方法适当、取得的评价证据充分,能够客观的对公司内控工作做出评价。
(三)缺陷认定标准
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准。
公司按照影响内部控制目标实现的严重程度,将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。
公司确定的内部控制缺陷认定标准如下:
1. 财务报告内部控制缺陷认定标准
财务报告内部控制缺陷评价的定量标准以最近一个会计年度经审计财务报表中的收入或资产总额为计算依据,具体如下:
重大缺陷 | 重要缺陷 | 一般缺陷 |
缺陷影响金额≥收入总额的1%,且绝对金额≥2000万元 | 收入总额的0.5%≤缺陷影响金额<收入总额的1%,且1000万元≤绝对金额<2000万元 | 缺陷影响金额<收入总额的0.5%,且绝对金额<1000万元 |
缺陷影响金额≥资产总额的1%,且绝对金额≥2000万元 | 资产总额的0.5%≤缺陷影响金额<资产总额的1%,且1000万元≤绝对金额<2000万元 | 缺陷影响金额<资产总额的0.5%,且绝对金额<1000万元 |
财务报告内部控制缺陷评价的定性标准如下:
出现以下情形的,认定为重大缺陷:
(1) 与财务报告相关的控制环境无效;
(2) 审计委员会和内部审计机构对内部控制的监督无效;
(3) 董事、监事和高级管理人员与财务报告相关的舞弊行为;
(4) 外部审计发现当期财务报告存在重大错报,公司在运行过程中未能发
现该错报;
(5) 重述以前公布的财务报告,以更正由于舞弊或错误导致的重大错误;
(6) 其他对财务报告使用者做出正确判断产生重大影响的缺陷。
其他情形按照影响程度分别确定为重要缺陷或一般缺陷。
2. 非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷认定的定量标准如下:
重大缺陷 | 重要缺陷 | 一般缺陷 |
潜在错报≥收入总额的1%,且绝对金额≥2000万元 | 收入总额的0.5%≤潜在错报<收入总额的1%,且1000万元≤绝对金额<2000万元 | 潜在错报<收入总额的0.5%,且绝对金额<1000万元 |
潜在错报≥资产总额的1%,且绝对金额≥2000万元 | 资产总额的0.5%≤潜在错报<资产总额的1%,且1000万元≤绝对金额<2000万元 | 潜在错报<资产总额的0.5%,且绝对金额<1000万元 |
非财务报告内部控制缺陷评价的定性标准如下:
具有以下特征的缺陷,应认定为重大缺陷,其他情形按影响程度分别确定为重要缺陷或一般缺陷:
(1) 违犯国家法律、法规或规范性文件;
(2) 重大决策程序不合规;
(3) 制度缺失可能导致内部控制系统性失效;
(4) 重大和重要缺陷未能得到整改;
(5) 公司声誉造成难以弥补的损害;
(6) 其他可能对公司造成重大影响的情形。
(四)公司内部控制的建设和执行情况
1、 内部控制的建设情况
(1) 控制环境
1)治理结构
公司严格按照《企业内部控制基本规范》和《公司法》等法律法规的要求,建立健全了股东大会、董事会、监事会等治理机构,制定或修订了《公司章程》、《股东大会议事规则》、《董事会议事规则》、《董事会战略委员工作细则》、《董事会薪酬与考核委员会工作细则》、《董事会提名委员会工作细则》、《董事会审计委员会工作细则》、《独立董事工作制度》、《监事会议事规则》、《总经理工作细则》、《关联交易制度》、《对外担保制度》、《对外投资管理制度》等公司管理制度,完善了法人治理结构以保障公司规范、高效运作。
股东大会为公司权力机构,决定公司的经营方针和投资计划,审批公司的年度财务预算、决算方案、公司的利润分配方案等;董事会执行股东大会的决议,并对股东大会负责,董事会下设战略委员会、薪酬与考核委员会、提名委员会和审计委员会四个专门委员会;监事会对公司的董事、总经理等高级管理人员履行公司职务的行为进行监督,检查公司财务,行使公司章程规定的其他职权;高级管理人员负责组织实施股东大会、董事会决议事项,主持公司日常经营管理工作。
2)机构设置及权责分配
公司为有效地计划、协调和控制经营活动,已合理地确定了组织单位的形式和性质,并贯彻不相容职务相分离的原则,合理划分了每个组织单位内部的责任权限,形成相互制衡机制。公司组织架构如下:
3)内部审计公司设立内审部。内审部是由董事会下设的审计委员会领导下独立开展工作的内部审计机构和审计人员日常办事机构。内审部对公司内部控制制度的建立和实施、公司财务信息的真实性和完整性等情况进行检查监督。审计委员会监督及评估内部审计工作。内审部对审计委员会负责,向审计委员会报告工作。
4)人力资源政策公司依据自身发展的需要,建立和实施了一系列有利于公司可持续发展的人力资源政策,包括聘用、培训、考核、奖惩、晋升和淘汰等。公司将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,重视员工培训和继续教育,不断提升员工素质和工作能力,促进员工职业发展。
5)企业文化公司秉持“专注、专业、专家”的理念,以“合法、合规、合理”作为价值准则,以“客户满意、员工支持、股东默契、价值链协同、社会认可”作为公司的服务宗旨,立志成为国内顶级的金融IT综合服务提供商。
公司培育职工积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险管理意识。董事、监事、总经理及其他高级管理人员在企业文化建设中发挥主导作用。企业员工认真遵守各项日常行为规范要求,认真履行各自岗位职责。
(2) 风险评估
公司建立了持续的信息收集程序,包括风险调查问卷的收集与编制等,能够有效的开展风险识别和评估工作,识别出与实现控制目标相关的内部风险和外部风险。公司管理层至各层级员工都认识到风险管理对于公司生存、发展和战略目标实现的重要性,并将风险管理体现在了各种日常管理之中。
(3) 控制活动
公司结合风险评估的结果,制定了相关的控制活动。通过人工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。这些控制措施主要包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和独立稽核控制等。
(4) 信息与沟通
公司根据内部运营管理的实际情况制定了科学的信息规章制度及有效的信息传递机制,使内部信息的传递能够做到及时、准确、严密,各级管理人员能够根据各自岗位及时掌握相关信息和指令并正确履行职责。公司在注重内部沟通的同时,同样注重与外部诸如客户、供应商、主管部门和股东之间的沟通。
同时,公司设立举报邮箱,对于相关人员的举报投诉能够快速有效地进行处理,处理过程中注意保护举报人的隐私,不泄露举报人的信息。
(5) 内部监督
公司制定了《内部审计制度》,明确了内审部和内审人员在内部监督中的职责权限,规范了内部监督的程序、方法和要求。在日常监督和专项监督中,内审部主要对各项内部控制制度进行检查及评价,以获取其有效运行或存在缺陷的证据,并对发现的内部控制缺陷及时采取措施予以纠正。
2、 内部控制的执行情况
公司严格执行内部控制制度,建立和完善了符合现代管理要求的内部组织结构,形成了科学的决策机制、执行机制和监督机制,保证了公司经营管理目标的实现。现对公司主要内部控制制度的执行情况说明如下:
(1) 资金管理
为加强公司资金的管理,建立规范的现金和银行账户管理体系,完善公司内部控制制度,有效地防范财务风险和信用风险,根据国家有关法律、法规,结合公司的实际情况,公司制定了《资金管理制度》。公司建立了完整的资金活动控制体系,并严格按照监管部门对上市公司的要求和公司内部严格的资金管理程序(申请、授权、批准及审验)开展资金活动。资金管理由财务部门统一归口管理,各控制环节的职责权限清晰明确。
公司非常重视对资金安全的管理。财务部定期进行现金盘点、编制银行对账单和银行账户余额调节表,内审部按照证监会和深圳证券交易所的要求定期对募集资金进行审计,保证公司的资金安全。报告期内公司按照制度规定严格监控资金营运全过程,及时根据宏观金融信贷政策调整资金安排,有效的保障了资金安全和使用效率。
(2) 固定资产管理
公司制定了《固定资产管理制度》,对固定资产的管理进行了规范。固定资产管理实行由使用部门、管理部门、商务部和财务部分工负责的原则。使用部门、管理部门对实物负直接管理责任,商务部负责固定资产的采购,财务部负责固定资产的核算。规定了购置、验收、使用维护、转移、报废等相关流程,每半年进行一次资产盘点,同时进行不定期资产盘点,做到账、卡、物相符,确保资产安全完整,账实相符。
(3) 采购与付款管理
公司建立了规范的采购与付款管理体系,具体制度包括《招投标管理制度》、《采购管理制度》、《单一来源采购管理制度》,所有采购环节均有制度或规程进行指导及管控。公司根据业务发展情况以及外部环境的变化,不断完善公司采购业务流程,实时更新公司相关的采购与付款制度,确保了相关流程控制的有效性。同时,公司采购管理的重要环节均采用信息化管理,通过信息系统的制约及规范作用,极大地提高了采购工作的效率及标准化程度,使公司的采购活动能够及时满足企业项目管理的需要。
同时,公司明确了应付账款和预付账款的支付条件,以预防和杜绝采购、结算过程中可能出现的舞弊与不法行为。
(4) 销售与收款管理制度
公司依照销售与收款业务流程的特点和公司的内控制度,制定了《销售合同管理制度》、《收款管理制度》等各项制度规范,合理的规划了业务部门、运营管理部和财务部在该项控制活动中的职责。针对销售预算的编制、售前项目管理、合同管理、客户管理、应收账款催收等制订了相关制度。同时,对相关职能制订了明确的作业程序与授权标准。
在收款管理制度中,公司要求对业务回款进行实时跟踪,特别强调对超期和异常回款进行跟进。对于回款中可能出现的异常情况,制度中也规定了相关的处理原则。同时,公司加强了对回款工作的考核,确保回款的效率和质量。制度多举措并行,共同确保回款工作的规范有效运行。
(5) 对外投资管理
对于投资的管理,公司制定了《对外投资管理制度》,严格控制投资风险。根据公司章程制定的《股东大会议事规则》、《董事会议事规则》要求,按照投资额的大小确定投资决策权的行使,并严格按照规定执行。制度对公司对外投资的原则、形式、投资项目的提出、审批、投资运作与管理、投资项目的监督等做出了明确的规定。公司明确了投资的审批程序、采取不同的投资额分别由不同层次的权力机构决策的机制,合理保证了对外投资的效率,保障了投资资金的安全
和投资效益。
(6) 人力资源管理
公司建立了规范的人力资源内部控制体系,并按照公司的业务发展情况不断改进。公司现有的人力资源制度包括《人力资源规划》、《招聘管理制度》、《员工关系管理制度》、《培训管理制度》、《薪酬管理制度》、《绩效管理制度》。公司根据发展战略和人力资源管理现状,结合业务实际需要,制定年度人力资源规划,有序开展人力资源管理工作。在招聘方面,公司重视人力资源开发工作,大力吸引高端人才和储备专业化技术人才队伍,建立和完善激励约束机制。在培训方面,公司重视对员工的培训工作,包括新员工入职培训和全体员工的业务培训、专业技能培训。在日常管理方面,人力资源部严格按照相关的人力制度开展工作,使内控体系得到有效贯彻。同时,人力资源部也在不断加强自身的专业修养,不断吸收新生力量。
(7) 信息系统管理
公司根据组织结构、业务范围、技术需求等因素建立了集项目管理、预算管理、人力资源管理、运营管理、财务核算及办公系统等为一体的EDM系统,在企业内部搭建起覆盖所有业务运行及有效管控的立体沟通平台。公司借助信息化手段,优化流程管理,实现了管控无缝隙。通过信息系统,公司提高了工作效率并降低了管理成本,全面提升了企业的现代化管理水平。同时公司不断完善现有的信息系统,通过增加操作平台,改进现有平台的操作内容,进一步提高了信息化管理水平。
在丰富信息系统的同时,公司也非常重视对于信息安全的管理。公司制定了《信息安全管理制度》,以保障公司信息安全,维护公司利益。
(8) 信息披露事务管理
公司按照《中华人民共和国公司法》、《中华人民共和国证券法》、《深圳证券交易所股票上市规则》、《上市公司信息披露管理办法》、《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》等有关法律法规、规范性文件的有关规定,制定了《信息披露管理制度》,对信息披露事务进行严格管理。董事长是公司信息披露的第一责任人,公司信息披露的具体事务由董事会秘书负责。2023年度,公司已严格按照上述法律法规、规范性文件和公司制度的要求及时、规范的开展了信息披露工作。
同时,公司做好内幕信息的保密工作,确保信息披露的真实、准确、完整、及时、公平,以维护全体股东的利益。
(五)内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
根据本公司财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷。
2. 非财务报告内部控制缺陷认定及整改情况
根据本公司非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷。
四、 其他内部控制相关重大事项说明
报告期内公司无其他内部控制相关重大事项说明。
五、 对上一年度内部控制缺陷的整改情况
不适用。